|
|
Глава 23 Аутентификация и учет |
|
Таблица 65 Экран Advanced Application > Auth and Acct > Auth and Acct Setup |
|
|
ПОЛЕ |
ОПИСАНИЕ |
|
Method |
Выберите метод (RADIUS или TACACS+) для учета событий определенного |
|
|
типа. |
|
|
Для регистрации событий типа Commands поддерживается только метод |
|
|
TACACS+. |
|
|
|
|
Privilege |
Данное поле настраивается только для событий типа Commands. Выберите |
|
|
пороговый уровень привилегий для команд, информация о которых будет |
|
|
направляться коммутатором на сервер учета. В этом случае коммутатор будет |
|
|
передавать учетную информацию в случае выполнения на коммутаторе |
|
|
команд, уровень привилегий которых равен или превышает указанный. |
|
|
|
|
Apply |
Нажмите Apply, чтобы сохранить изменения в оперативной памяти |
|
|
коммутатора. Эти настройки будут утеряны в случае выключения коммутатора |
|
|
или перебоя в подаче питания, поэтому по завершении настройки необходимо |
|
|
нажать на ссылке Save в верхней навигационной панели для сохранения |
|
|
изменений в энергонезависимой памяти. |
|
|
|
|
Cancel |
Нажмите Cancel, чтобы начать настройку на этом экране заново. |
|
|
|
23.2.4 Специальный атрибут производителя
Стандартом RFC 2865 определен метод обмена специфичной для производителя информацией между сервером RADIUS и сетевым устройством доступа (например, коммутатором). Для расширения функциональных возможностей сервера RADIUS компания может использовать специальные атрибуты производителя (VSA).
Данный коммутатор поддерживает атрибуты VSA, которые, в зависимости от результатов аутентификации пользователя, позволяют выполнять следующие действия:
•Ограничивать пропускную способность для входящего или исходящего трафика через порт, к которому подключен пользователь.
•Назначать уровни привилегий учетным записям (более подробную информацию об уровнях привилегий учетных записей можно найти в Справочнике по интерфейсу командной строки) для пользователей, прошедших аутентификацию.
Атрибут VSA включает в себя следующие поля:
•Vendor-ID: Идентификационный номер, назначенный компании уполномоченной организацией по распределению нумерации в сети Интернет (IANA). ZyXEL присвоен идентификатор 890.
•Vendor-Type: Определяемый производителем атрибут, идентифицирующий изменяемый параметр.
•Vendor-data: Значение, которое необходимо присвоить параметру.
"Порядок настройки атрибутов VSA для пользователей, проходящий аутентификацию на сервере RADIUS, можно найти в документации к соответствующему серверу RADIUS.
Руководство пользователя по серии ES-3124
209 |
Глава 23 Аутентификация и учет
Атрибуты VSA, поддерживаемые коммутатором, описаны в следующей таблице.
Таблица 66 Поддерживаемые атрибуты VSA
ФУНКЦИЯ |
АТРИБУТ |
Назначение |
Vendor-Id = 890 |
пропускной |
Vendor-Type = 1 |
способности для |
Vendor-data = скорость входящего трафика (кбит/с в десятичном формате) |
входящего трафика |
|
|
|
Назначение |
Vendor-Id = 890 |
пропускной |
Vendor-Type = 2 |
способности для |
Vendor-data = скорость исходящего трафика (кбит/с в десятичном формате) |
исходящего трафика |
|
|
|
Назначение |
Vendor-ID = 890 |
привилегий |
Vendor-Type = 3 |
|
Vendor-Data = "shell:priv-lvl=N" |
|
или |
|
Vendor-ID = 9 (CISCO) |
|
Vendor-Type = 1 (CISCO-AVPAIR) |
|
Vendor-Data = "shell:priv-lvl=N" |
|
где N – уровень привилегий (от 0 до 14). |
|
Примечание: Если для учетной записи на сервере или |
|
серверах RADIUS и на коммутаторе установлены |
|
различные уровни привилегий, пользователю |
|
назначается уровень привилегий из той базы данных |
|
(RADIUS или локальной), которая первой была |
|
использована коммутатором для аутентификации |
|
пользователя. |
|
|
23.2.4.1Атрибут протокола туннелирования
Спомощью атрибутов протокола туннелирования на сервере RADIUS (см. документацию к серверу RADIUS) можно назначить порт коммутатора виртуальной локальной сети VLAN с использованием аутентификации на основе IEEE 802.1x. Настройки VLAN порта – фиксированные, без тегов. При этом также назначается идентификатор VID порта.Значения, которые необходимо настроить, описаны в следующей таблице. Значения, выделенные в таблице полужирным шрифтом, являются фиксированными в соответствии с RFC 3580.
Таблица 67 Поддерживаемые атрибуты протокола туннелирования
ФУНКЦИЯ |
АТРИБУТ |
Назначение сети |
Tunnel-Type = VLAN(13) |
VLAN |
Tunnel-Medium-Type = 802(6) |
|
Tunnel-Private-Group-ID = VLAN ID |
|
Примечание: На коммутаторе необходимо создать сеть |
|
VLAN с указанным идентификатором VID. |
|
|
210 |
Руководство пользователя по серии ES-3124
Глава 23 Аутентификация и учет
23.3 Поддерживаемые атрибуты RADIUS
Атрибуты RADIUS представляют собой данные, используемые для определения специального порядка аутентификации, а также учетные элементы пользовательского профиля, сохраняемые на сервере RADIUS. В данном приложении перечислены атрибуты RADIUS, поддерживаемые коммутатором.
Более подробную информацию об атрибутах RADIUS, используемых для аутентификации, можно найти в RFC 2865. Описание атрибутов RADIUS, используемых для учета, можно найти в RFC 2866 и RFC 2869.
Вданном приложении перечислены атрибуты, используемые коммутатором для функций аутентификации и учета. В тех случаях, когда с атрибутом связан особый формат, приводится описание формата.
23.3.1Атрибуты, используемые для аутентификации
Вприведенных ниже разделах перечислены атрибуты, передаваемые коммутатором на сервер RADIUS при осуществлении аутентификации.
23.3.1.1 Атрибуты, используемые при аутентификации привилегированного доступа
User-Name
– формат атрибута User-Name: $enab#$, где # представляет собой уровень привилегий (1-14)
User-Password
NAS-Identifier
NAS-IP-Address
23.3.1.2 Атрибуты, используемые для входа пользователей
User-Name User-Password NAS-Identifier NAS-IP-Address
23.3.1.3 Атрибуты, используемые для аутентификации на основе IEEE 802.1x
User-Name NAS-Identifier NAS-IP-Address NAS-Port NAS-Port-Type
– Данное значение на коммутаторе устанавливается равным Ethernet(15). Calling-Station-Id
Frame-MTU
EAP-Message State
Message-Authenticator
Руководство пользователя по серии ES-3124
211 |
Глава 23 Аутентификация и учет
23.3.2Атрибуты, используемые для учета
Вприведенных ниже разделах перечислены атрибуты, передаваемые коммутатором на сервер RADIUS при использовании функций учета.
23.3.2.1 Атрибуты, используемые для учета системных событий
NAS-IP-Address
NAS-Identifier
Acct-Status-Type
Acct-Session-ID
– Формат идентификатора Acct-Session-Id: дата+время+8-значный порядковый номер, например, 2007041917210300000001. (дата: 2007/04/19,
время: 17:21:03, порядковый номер: 00000001) Acct-Delay-Time
23.3.2.2 Атрибуты, используемые для учета событий выполнения команд (Exec)
Передаваемые атрибуты и момент времени, когда они передаются, перечислены в следующей таблице (различия между событиями Exec, связанными с выполнением команд сконсоли иличерез Telnet/SSH заключается в том, длясобытий через Telnet/SSH
используется атрибут Calling-Station-Id):
Таблица 68 Атрибуты RADIUS – события Exec при выполнении команд с консоли
АТРИБУТ |
НАЧАЛО |
ПРОМЕЖ. |
ЗАВЕРШЕНИЕ |
|
ОБНОВЛЕНИЕ |
||||
|
|
|
||
User-Name |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-Identifier |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-IP-Address |
Д |
Д |
Д |
|
|
|
|
|
|
Service-Type |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Status-Type |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Delay-Time |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Session-Id |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Authentic |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Session-Time |
|
Д |
Д |
|
|
|
|
|
|
Acct-Terminate-Cause |
|
|
Д |
|
|
|
|
|
Таблица 69 Атрибуты RADIUS – события Exec при выполнении команд через Telnet/ SSH
АТРИБУТ |
НАЧАЛО |
ПРОМЕЖ. |
ЗАВЕРШЕНИЕ |
|
ОБНОВЛЕНИЕ |
||||
|
|
|
||
User-Name |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-Identifier |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-IP-Address |
Д |
Д |
Д |
|
|
|
|
|
|
Service-Type |
Д |
Д |
Д |
|
|
|
|
|
|
Calling-Station-Id |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Status-Type |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Delay-Time |
Д |
Д |
Д |
|
|
|
|
|
212 |
Руководство пользователя по серии ES-3124
Глава 23 Аутентификация и учет
Таблица 69 Атрибуты RADIUS – события Exec при выполнении команд через Telnet/ SSH
АТРИБУТ |
НАЧАЛО |
ПРОМЕЖ. |
ЗАВЕРШЕНИЕ |
|
ОБНОВЛЕНИЕ |
||||
|
|
|
||
Acct-Session-Id |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Authentic |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Session-Time |
|
Д |
Д |
|
|
|
|
|
|
Acct-Terminate-Cause |
|
|
Д |
|
|
|
|
|
23.3.2.3 Атрибуты, используемые для учета событий IEEE 802.1x
Используемые атрибуты перечислены в следующей таблице с указанием момента времени, когда они передаются:
Таблица 70 Атрибуты RADIUS – события Exec при выполнении команд с консоли
АТРИБУТ |
НАЧАЛО |
ПРОМЕЖ. |
ЗАВЕРШЕНИЕ |
|
ОБНОВЛЕНИЕ |
||||
|
|
|
||
User-Name |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-IP-Address |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-Port |
Д |
Д |
Д |
|
|
|
|
|
|
Class |
Д |
Д |
Д |
|
|
|
|
|
|
Called-Station-Id |
Д |
Д |
Д |
|
|
|
|
|
|
Calling-Station-Id |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-Identifier |
Д |
Д |
Д |
|
|
|
|
|
|
NAS-Port-Type |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Status-Type |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Delay-Time |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Session-Id |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Authentic |
Д |
Д |
Д |
|
|
|
|
|
|
Acct-Input-Octets |
|
Д |
Д |
|
|
|
|
|
|
Acct-Output-Octets |
|
Д |
Д |
|
|
|
|
|
|
Acct-Session-Time |
|
Д |
Д |
|
|
|
|
|
|
Acct-Input-Packets |
|
Д |
Д |
|
|
|
|
|
|
Acct-Output-Packets |
|
Д |
Д |
|
|
|
|
|
|
Acct-Terminate-Cause |
|
|
Д |
|
|
|
|
|
|
Acct-Input-Gigawords |
|
Д |
Д |
|
|
|
|
|
|
Acct-Output-Gigawords |
|
Д |
Д |
|
|
|
|
|
Руководство пользователя по серии ES-3124
213 |
Глава 23 Аутентификация и учет
214 |
Руководство пользователя по серии ES-3124